通过

步骤 3:配置负载均衡群集

准备好用于群集的服务器后,请在单一服务器上配置负载均衡、配置所需的证书以及部署群集。

任务 说明
3.1 配置 IPv6 前缀 如果公司环境为 IPv4+IPv6 或仅 IPv6,则在单一远程访问服务器上,请确保分配给 DirectAccess 客户端计算机的 IPv6 前缀足够大,可以覆盖群集中的所有服务器。
3.2 启用负载均衡 在单一远程访问服务器上启用负载均衡。
3.3 安装 IP-HTTPS 证书 群集中的每个服务器都需要服务器证书来对 IP-HTTPS 连接进行身份验证。 从单一远程访问服务器导出 IP-HTTPS 证书,并将其部署到要添加到群集的每个服务器上。 仅当使用非自签名证书时,才需要这样做。
3.4 安装网络位置服务器证书 如果单一服务器在本地部署了网络位置服务器,则需要在群集中的每个服务器上部署网络位置服务器证书。 如果网络位置服务器托管在外部服务器上,则不需要每个服务器上的证书。 仅当使用非自签名证书时,才需要这样做。
3.5 将服务器添加到群集 将所有服务器添加到群集。 不得在要添加的服务器上配置远程访问。
3.6 从群集中删除服务器 有关从群集中删除服务器的说明。
3.7 禁用负载均衡 有关禁用负载均衡的说明。

注意

为 DIP 选择的 IP 地址不得用于群集中第一个远程访问服务器的网络适配器。 在将 VIP 和 DIP 添加到网络适配器的情况下启动 DirectAccess 部署将导致失败。

注意

请确保不要使用在网络上的另一台计算机中已存在的 DIP。

3.1 配置 IPv6 前缀

配置前缀

  1. 在远程访问服务器上,单击“开始”,然后单击“远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台中,单击“配置”

  3. 在控制台的中间窗格中,单击“步骤 2 DirectAccess 服务器”区域中的“编辑”。

  4. 单击“前缀配置”。 在“前缀配置”页的“分配给 DirectAccess 客户端计算机的 IPv6 前缀”中,输入用于 DirectAccess 客户端计算机的 IPv6 前缀(子网长度为 59),例如 2001:db8:1:1000::/59。 如果 VPN 也启用了 IPv6,则会显示 IPv6 前缀,并且子网长度需要更改为 59。 单击“下一步”。

  5. 在控制台的中间窗格中,单击“完成”。

  6. 在“远程访问评审”对话框中,查看配置设置,然后单击“应用”。 在“应用远程访问设置向导设置”对话框中,单击“关闭”

3.2 启用负载均衡

启用负载均衡

  1. 在配置的 DirectAccess 服务器上,单击“开始”,然后单击“远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台的左窗格中,单击“配置”,然后在“任务”窗格中,单击“启用负载均衡”。

  3. 在“启用负载均衡向导”中,单击“下一步”。

  4. 根据你在计划步骤中选择的内容,执行以下操作:

    1. Windows NLB:在“负载均衡方法”页上,单击“使用 Windows 网络负载均衡(NLB)”,然后单击“下一步”。

    2. 外部负载均衡器:在“负载均衡方法”页上,单击“使用外部负载均衡器”,然后单击“下一步”。

  5. 在单个网络适配器部署中的“专用 IP 地址”页上,执行以下操作,然后单击“下一步”:

    1. 在“IPv4 地址”框中,输入此远程访问服务器的新 IPv4 地址;当前 IPv4 地址将是负载均衡群集的虚拟 IP 地址 (VIP)。 在“子网掩码”框中,输入子网掩码。

    2. 如果公司环境为本机 IPv6,则在“IPv6 地址”框中,输入此远程访问服务器的新 IPv6 地址;当前 IPv6 地址将是负载均衡群集的 VIP。 在“子网前缀长度”框中,输入子网前缀长度。

  6. 在双网络适配器部署中的“外部专用 IP 地址”页上,执行以下操作,然后单击“下一步”:

    1. 在“IPv4 地址”框中,输入此远程访问服务器的新外部 IPv4 地址;当前 IPv4 地址将是负载均衡群集的虚拟 IP 地址 (VIP)。 在“子网掩码”框中,输入子网掩码。

    2. 如果当前在远程访问服务器的面向 Internet 的网络适配器上配置了本机 IPv6 地址,请在“IPv6 地址”框中输入此远程访问服务器的新外部 IPv6 地址;当前的 IPv6 地址将是负载均衡群集的 VIP。 在“子网前缀长度”框中,输入子网前缀长度。

  7. 在双网络适配器部署中的“内部专用 IP 地址”页上,执行以下操作,然后单击“下一步”:

    1. 在“IPv4 地址”框中,输入此远程访问服务器的新内部 IPv4 地址;当前 IPv4 地址将是负载均衡群集的 VIP。 在“子网掩码”框中,输入子网掩码。

    2. 如果公司环境为本机 IPv6,则在“IPv6 地址”框中,输入此远程访问服务器的新内部 IPv6 地址;当前 IPv6 地址将是负载均衡群集的 VIP。 在“子网前缀长度”框中,输入子网前缀长度。

  8. 在“摘要”页中,单击“提交”。

  9. 在“启用负载均衡”对话框中,单击“关闭”。

  10. 在“启用负载均衡向导”中,单击“关闭”。

    注意

    如果使用外部负载均衡,请记下虚拟 IP,并像在外部负载均衡器上那样提供它们。

Windows PowerShellWindows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

如果选择在计划步骤中使用 Windows NLB,请执行以下操作:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")

如果选择在计划步骤中使用外部负载均衡器,请执行以下操作:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer

注意

如果使用的是暂存 GPO,建议不要包含对负载均衡器设置的更改以及对任何其他设置的更改。 必须先应用对负载均衡器设置的任何更改,然后再进行其他配置更改。 此外,在新的 DirectAccess 服务器上配置负载均衡器后,请在更改与新群集相关的其他 DirectAccess 设置之前,留出一些时间在企业中的 DNS 服务器上应用和复制 IP 更改。

3.3 安装 IP-HTTPS 证书

必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。

安装 IP-HTTPS 证书

  1. 在已配置的远程访问服务器上,单击“开始”,键入 mmc 并按 ENTER 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在 MMC 控制台的“文件”菜单上,单击“添加/删除管理单元”。

  3. 在“添加或删除管理单元”对话框中,依次单击“证书”、“添加”、“计算机帐户”、“下一步”、“完成”,然后单击“确定”。

  4. 在控制台的左窗格中,导航到“证书”:(本地计算机)\个人\证书。 右键单击 IP-HTTPS 证书,指向“所有任务”,然后单击“导出”。

  5. “欢迎使用‘证书导出向导’”页面上,单击“下一步”

  6. 在“导出私钥”页面上,单击“是,导出私钥”,然后单击“下一步”

  7. 在“导出文件格式”页上,单击“个人信息交换 - PKCS #12 (.PFX)”,然后单击“下一步”。

  8. 在“安全”页面上,选中“密码”复选框,在“密码”框中输入密码并确认密码,然后单击“下一步”。

  9. 在“要导出的文件”页上,输入证书文件的名称并将其保存到桌面,然后单击“下一步”。

  10. 在“完成证书导出向导”页中单击“完成”。

  11. 在“证书导出向导”对话框中,单击“确定”。

  12. 将证书复制到要当作群集成员的所有服务器。

  13. 在新的 DirectAccess 服务器上,单击“开始”,键入 mmc 并按 Enter 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  14. 在 MMC 控制台的“文件”菜单上,单击“添加/删除管理单元”。

  15. 在“添加或删除管理单元”对话框中,依次单击“证书”、“添加”、“计算机帐户”、“下一步”、“完成”,然后单击“确定”。

  16. 在控制台的左窗格中,导航到“证书”:(本地计算机)\个人\证书。 右键单击“证书”节点,指向“所有任务”,然后单击“导入”。

  17. 在“欢迎使用证书导入向导”页上,单击“下一步”。

  18. 在“要导入的文件”页上,单击“浏览”找到证书。 选择证书,然后单击“下一步”。

  19. 在“私钥保护”页上的“密码”框中,键入密码,然后单击“下一步”。

  20. 在“证书存储”页上,单击“下一步”

  21. 在“正在完成证书导入向导”页上,单击“完成”

  22. 在“证书导入向导”对话框中,单击“确定”。

  23. 在要当作群集成员的所有服务器上重复步骤 13-22。

3.4 安装网络位置服务器证书

必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。

安装网络位置证书

  1. 在远程访问服务器上,单击“开始”,键入 mmc,然后按 ENTER 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 单击“文件”,然后单击“添加/删除管理单元”。

  3. 依次单击“证书”、“添加”、“计算机帐户”、“下一步”、“本地计算机”、“完成”,然后单击“确定”。

  4. 在证书管理单元的控制台树中,依次打开“证书(本地计算机)\个人\证书”。

  5. 右键单击“证书”,指向“所有任务”,然后单击“申请新证书”。

  6. 单击“下一步”两次。

  7. 在“请求证书”页上,单击 Web 服务器证书模板,然后单击“注册此证书需要更多信息”。

    如果未显示 Web 服务器证书模板,请确保远程访问服务器计算机帐户具有 Web 服务器证书模板的注册权限。 有关详细信息,请参阅在 Web 服务器证书模板上配置权限

  8. 在“证书属性”对话框的“使用者”选项卡上,在“使用者名称”中,为“类型”选择“公用名”。

  9. 在“值”中,为网络位置服务器网站(例如 nls.corp.contoso.com)的 Intranet 名称键入完全限定的域名 (FQDN),然后单击“添加”。

  10. 依次单击“确定”、“注册”和“完成”。

  11. 在证书管理单元的详细信息窗格中,通过“服务器身份验证”的“预期目的”验证是否注册了具有 FQDN 的新证书。

  12. 右键单击证书,然后单击“属性”。

  13. 在“易记名称”中,键入“网络位置证书”,然后单击“确定”。

    提示

    步骤 12 和 13 可选,但在配置远程访问时,这些步骤有助于更轻松地选择网络位置证书。

  14. 在要当作群集成员的所有服务器上重复此过程。

3.5 将服务器添加到群集

将服务器添加到群集

  1. 在配置的 DirectAccess 服务器上,单击“开始”,然后单击“远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台中,单击“配置”。 在“任务”窗格中的“负载均衡群集”下,单击“添加或删除服务器”。

  3. 在“添加或删除服务器”对话框中,单击“添加服务器”。

  4. 在“添加服务器”对话框的“选择服务器”页上,输入其他远程访问服务器的名称,然后单击“下一步”。

  5. 在“网络适配器”页面上,执行以下操作之一:

    • 如果要部署具有双网络适配器的拓扑,请在“外部适配器”中选择连接到外部网络的适配器。 在“内部适配器”中,选择连接到内部网络的适配器。

    • 如果要部署具有一个网络适配器的拓扑,请在“网络适配器”中选择连接到内部网络的适配器。

  6. 在“网络适配器”页上的“选择用于验证 IP-HTTPS 连接的证书”中,单击“浏览”,找到并选择 IP-HTTPS 证书,然后单击“下一步”。

  7. 在“网络位置服务器”页上,单击“浏览”,为远程访问服务器上运行的网络位置服务器网站选择证书,然后单击“下一步”。

    注意

    仅当网络位置服务器网站在远程访问服务器上运行时,才会显示“网络位置服务器”页。

    注意

    如果在远程访问服务器上也配置了 VPN,则此时会要求你添加 VPN IP 地址池信息。

  8. 在“摘要”页上,单击“添加”。

  9. 在“完成”页上,单击“关闭”

  10. 对要添加到群集的所有远程访问服务器重复此过程。

  11. 在“添加或删除服务器”对话框中,单击“提交”。

  12. 在“添加和删除服务器”对话框中,单击“关闭”。

Windows PowerShellWindows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

注意

如果尚未在负载均衡群集中启用 VPN,使用 Windows PowerShell cmdlet 将新服务器添加到群集时,不应提供任何 VPN 地址范围。 如果错误地执行了此操作,请从群集中删除服务器,然后在不指定 VPN 地址范围的情况下将其重新添加到集群中。

3.6 从群集中删除服务器

从群集中删除服务器

  1. 在配置的远程访问服务器上,单击“开始”,然后单击“远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台中,单击“配置”。 在“任务”窗格中的“负载均衡群集”下,单击“添加或删除服务器”。

  3. 在“添加或删除服务器”对话框中,选择要删除的远程访问服务器,然后单击“删除服务器”。

  4. 在“删除服务器警告”对话框中,确保选择了正确的服务器,然后单击“确定”。

  5. 对要从群集中删除的所有远程访问服务器重复此过程。

  6. 在“添加或删除服务器”对话框中,单击“提交”。

  7. 在“添加和删除服务器”对话框中,单击“关闭”。

Windows PowerShellWindows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

3.7 禁用负载均衡

使用 Windows PowerShell 执行此步骤

禁用负载均衡

  1. 在配置的 DirectAccess 服务器上,单击“开始”,然后单击“远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台中,单击“配置”。 在“任务”窗格中的“负载均衡群集”下,单击“禁用负载均衡”。

  3. 在“禁用负载均衡”对话框中,单击“确定”。

  4. 在“禁用负载均衡”对话框中,单击“关闭”。

Windows PowerShellWindows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

set-RemoteAccessLoadBalancer -disable

禁用负载均衡将从所有服务器中删除远程访问设置和 NLB 设置(如果已配置),执行负载均衡的服务器例外。 在此远程访问服务器上,将删除 NLB 设置(如果已配置),但远程访问设置将保留。

单击“删除配置设置”将从部署中的所有服务器中删除远程访问和 NLB(如果已配置)。

注意

  • 如果在部署负载均衡时卸载远程访问,则所有服务器都会保留 DIP。 VIP 将删除。 这会导致公司网络中指向 VIP 地址的所有路由失败。 这也会影响解析为 VIP 的 DNS 条目,例如网络位置服务器证书使用者名称。 若要避免此问题,请禁用负载均衡,这会将 VIP 保留在最后一台远程访问服务器上,然后卸载远程访问。
  • 使用 Set-RemoteAccessLoadBalancer cmdlet 禁用负载均衡后,请等待 2 分钟,然后再运行任何其他 cmdlet。 此操作应在 Set-RemoteAccessLoadBalancer -disable cmdlet 之后运行另一个 cmdlet 的任何脚本中完成。
  • 禁用负载均衡会将群集的虚拟 IP 地址更改为专用 IP 地址。 因此,在服务器上缓存的 DNS 条目过期之前,任何查询服务器名称的操作都将失败。 请确保在禁用负载均衡后,在服务器上的缓存过期之前不运行任何远程访问 PowerShell cmdlet。 如果尝试从另一个域中的另一台计算机禁用计算机上的负载均衡,则此问题更为常见。 如果从远程访问管理控制台禁用负载均衡,也会发生这种情况,并且可能会阻止加载配置。 缓存过期或刷新后,将加载配置。